[CVSSv3 : 9.8/10] VMware、vRealize Business for Cloudにかなり重大な脆弱性(CVE-2021-21984)

VMwareはvRealize Business for Cloudにある重大な深刻な脆弱性(CVE-2021-21984)に対処するためのセキュリティアップデートを公開しました。

この脆弱性は、リモートコード実行(RCE)と呼ばれる攻撃者が悪意のあるコードをリモートで且つ無認証で実行することができるというものでCVSSv3スコアは10点中9.8とかなり深刻なレベルの脆弱性となっています。

https://www.vmware.com/security/advisories/VMSA-2021-0007.html

vRealize Business for Cloudは、自動化されたクラウドビジネス管理ソリューションであり、ITチームにクラウドの計画、予算、コスト分析のツールを提供するように設計されています。

このセキュリティ脆弱性は、バージョン7.6.0より前のVMware vRealize Business for Cloudを実行している仮想アプライアンスに影響します。

管理インターフェイスのアップグレードAPIの悪用

攻撃者は、管理インターフェース(VAMI)のアップグレードAPIを使用してこのセキュリティ上の脆弱性を悪用し、パッチが適用されていないvRealize Business for Cloud仮想アプライアンスにアクセスすることが可能です。

VMwareは、この問題の深刻度をCVSSv3ベーススコア最大9.8の「クリティカル」と評価しています。

この重大な脆弱性は、認証やユーザーの操作を必要とせずに遠隔地の攻撃者が比較的カンタンに攻撃に悪用することができます。

VMwareは、このセキュリティ問題を修正する「VMware vRealize Business for Cloud 7.6.0」をリリースし、セキュリティパッチを適用する前にスナップショットを取ることを推奨しています。

脆弱性のあるアプライアンスへのパッチ適用方法

脆弱なvRealize Business for Cloudのバージョンを実行している仮想アプライアンスの脆弱性を修正するために、まずVMwareのダウンロードページからセキュリティパッチのISOファイルをダウンロードする必要があります。

https://kb.vmware.com/s/article/83475

次に、以下の手順でアップグレード作業を行います。

  • セキュリティパッチのISOファイルをダウンロード
  • vRealize Business for Cloud Server ApplianceのCD-ROMドライブにダウンロードしたISOファイルをマウント
  • vRealize Business for CloudのVAMIポータルにRoot認証情報を使ってログイン
  • VAMI UI の [Update] タブをクリック
  • [Update] タブの [Settings] をクリック
  • アップデートリポジトリでUse CDROM Updatesを選択し、ISOファイルをアップロードしたパスを指定、Save Settingsをクリック
  • [Status]タブの[Install Updates]をクリックすると、パッチ適用されたビルドにアップグレードされる

深刻なVMwareの脆弱性の被害

VMwareの脆弱性は、過去国家レベルのハッキンググループや企業ネットワークを標的としたランサムウェア攻撃に悪用されたことがあるため、管理者はできるだけ早くアプライアンスをアップデートする必要があります。

2020年12月米国家安全保障局(NSA)は、ロシアの国家機関がVMware Workspace Oneのゼロデイ脆弱性を悪用し、脆弱なサーバにウェブシェル(webshell)を導入して機密情報を盗み出したと警告しました。

ウェブシェル(webshell)とは?

また、「RansomExx」「Babuk Locker」「Darkside」などの複数のランサムウェアが、無認証でのリモートコード実行(RCE)を悪用し、企業が中央サーバ群として使用しているVMWare ESXiインスタンスの仮想ハードディスクを暗号化したことも以前話題になりました。

Leave a Reply

Your email address will not be published.